최근 증가 중의 DDoS 공격의 일종인 「패킷 레이트 공격」은 무엇?

최근 증가 중의 DDoS 공격의 일종인 「패킷 레이트 공격」은 무엇?

DDoS 공격은 여러 장치로서 방대한 양의 데이터를 표적에 전송해 웹사이트나 서버를 처리 불가능한 규모의 접속 통신량(트래픽))상태로 만드는 사이버 공격 기법입니다. 이러한 DDoS 공격의 대부분은, 사용 가능한 대역폭을 고갈시키는 「대역폭 소비형」으로 분류되지만, 근년은 「패킷 레이트 공격(packet rate attacks)」이라고 하는 기법도 증가하고 있다고 하며, 클라우드 컴퓨팅 서비스를 제공하는 OVH Cloud에서 컴퓨터 시큐리티 인시던트 대응 팀장을 맡는 세바스티안 멜리오가, 그 기법에 대해 설명하는 내용입니다.

DDoS 공격은 수년에 걸쳐 온라인 서비스의 가용성에 영향을 계속 미쳐 왔습니다. 여러 공격자는 IoT 디바이스나 라우터에 맬웨어를 설치하거나 취약성을 악용하여 봇넷의 집단을 만들어 DDoS 공격을 가하고 있습니다.

대부분의 DDoS 공격은 대역폭을 압도하기 위해 대량의 쓰레기 데이터를 송신하는 네트워크층의 공격이나, 대량의 애플리케이션 리퀘스트를 송신해 CPU나 메모리를 과잉으로 사용시키는 애플리케이션층의 공격으로 나눌 수 있습니다. 그러나, 이것 이외에도 DDoS 공격의 기법은 몇개 있으며, 그 중 하나가 「패킷 레이트 공격(packet rate attacks)」이라고 하는 기법입니다.

인터넷으로 송수신 되는 데이터는 패킷이라고 하는 단위로 분할되어 수신측의 시스템은 각 패킷의 헤더에 포함되는 송신원 IP주소나 송신처 IP주소 등을 처리해야 합니다. 패킷 레이트 공격은, 대역폭을 압도하는 방대한 데이터를 보내는 대신에, 「대량의 작은 패킷」을 타겟에 대량으로 보내는 기법입니다.

일반적으로 '크고 수가 적은 패킷'을 처리하는 것보다 '작지만 수가 많은 패킷'을 처리하는 것이 컴퓨팅 비용이 더 높다고 할 수 있습니다. 예를 들어, 소프트웨어를 사용하여 패킷을 처리하는 경우, 각 패킷은 적어도 하나의 메모리에 액세스하는 것을 의미하고 있습니다. 또한 하드웨어를 사용하는 경우에도 패킷 레이트가 높으면 큰 부하가 걸립니다. 따라서 패킷의 헤더를 처리하는 시스템의 경우 대역폭이 아닌 '패킷 레이트'가 하드웨어의 제한이 된다는 것입니다.

패킷 레이트 공격의 목적은 사용 가능한 대역폭을 고갈시키는 것이 아니라 수신처에 가까운 네트워크 디바이스의 패킷 처리 엔진에 과부하를 가하는 것입니다. 일반적으로는 표적 서비스 바로 앞에 있는 로드 밸런서나 DDoS 대책 시스템 등을 기능을 못하게 만들어 관련된 대규모 인프라스트럭처에 말려들어 피해를 준다고 메리오는 설명하고 있습니다.

패킷레이트 공격은 새로운 것은 아니지만, 오랫동안 패킷 레이트 공격의 규모는 100Mpps를 훨씬 밑도는 것이 많았는데, 지난 18개월간 100Mpps를 넘는 공격이 급증하고 있다고 합니다. 특히 2024년 4월에는 지금까지 기록된 최고치를 웃도는 840Mpps에 달하는 기록적인 패킷레이트 공격도 일어났다고 합니다.

OVH Cloud는 이러한 패킷 레이트 공격의 영향을 완화하는 동시에 어떤 IP 주소에서 공격이 이루어졌는지에 대해서도 분석하고 있습니다. 그 결과 OVH Cloud가 분석한 패킷 속도 공격에서는 패킷의 3분의 2가 미국에 있는 단 4개의 PoP에서 침입했으며, 공격 행위자가 소수의 피어링을 통해 거대한 패킷 속도를 전송하는 능력을 가지고 있음을 알 수 있었습니다.

또, 100 Mpps~500 Mpps에 걸친 약 100건의 패킷 레이트 공격을 수동으로 분석했는데, 많은 공격은 그다지 많지 않은 IP주소로부터 행해지고 있는 것도 밝혀졌습니다. 특히 많은 패킷 속도를 생성한 문제가 있는 상위 70개 IP 주소를 조사하면 대부분 미크로틱 공유기이며, 구성 웹페이지를 인터넷상에서 공개하고 있는 것으로 확인되었습니다.

MicroTik제 라우터의 OS인 RouterOS에서는, 과거 수년간에 몇 개의 중대한 취약성이 보고되고 있는 것부터, 공격 행위자는 취약성이나 부적절한 관리 인터페이스를 악용하고, 이러한 라우터를 패킷 레이트 공격에 사용하고 있을 가능성이 있다는 것입니다. 또, RouterOS에 존재하는 「대역폭 테스트」기능이, DDoS 공격에 응용하기 쉬운 것도 이유일지도 모른다고 메리오는 지적하고 있습니다.

*재미있거나 도움이 되셨다면 '구독' 꾹 눌러 주시기를 부탁드립니다. 늘 행복하세요.

 

The Rise of Packet Rate Attacks: When Core Routers Turn Evil - OVHcloud Blog
https://blog.ovhcloud.com/the-rise-of-packet-rate-attacks-when-core-routers-turn-evil/